質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

4回答

18543閲覧

テストウィルスメールの送信方法

zanjibar

総合スコア206

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

1グッド

2クリップ

投稿2015/11/06 00:11

テスト用ウィルスメールを送信したいのですが、PCや、メールサーバでのチェックにひっかかかってうまくいきません。
テスト用ウィルスメールは、これです。
http://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1424

世の中では、どうやってテストしているのでしょうか?
実際にテストをされた経験がある方からの回答か、実際の事例を引用した回答を期待しています。

matobaa👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

どのウィルス対策についてテストしたいかをはっきりさせてください。メールへのウィルス対策は二重三重で守られているため、その部分によってどうするかが変わってきます。

【警告】EICARの使用は自己責任です。使用によるシステムへの影響については一切保証できません。
【警告】手順ではウィルス対策ソフトを無効にするなど、無防備な状態が発生します。この手順を実施した場合のシステムへの影響等についても一切保証できません。
【警告】しつこいようですが、全て自己責任です。不安があれば信頼できるセキュリティ専門の会社に依頼することをお勧めします。

内部のパソコンでウィルス付きメールを送れないことを確認したい。

パソコンのウィルス対策ソフトが添付する前に駆除してしまうので、それを確認すればいいかと思います。

  1. パソコンのウィルス対策ソフトを無効にします。
  2. メモ帳で「新規作成」します。
  3. EICAR ANTI-MALWARE TESTFILEに書いてある「X5O!P%@A...」から始まる68文字の文字列をそのままコピーします。最後に改行等は入れないでください。
  4. "eicor.com"というファイル名で保存します。68bytesであることを確認してください。また、ウィルス対策ソフトが有効ですと、保存に失敗し、ファイルは削除されます。1.を確認してください。
  5. 保存が終わった後にウィルス対策ソフトを有効にします。これでパソコンの中にテストウィルス(EICAR)が存在します。
  6. メールソフトで先ほど作成したテストウィルスを添付します。

=> ウィルス対策ソフトが正常に動作していれば、この時点で検知され、ファイルは削除または隔離されます。パソコンのウィルス対策ソフトのログ等で削除または隔離されていることを確認してください。

内部からウィルス付きメールを送られたときに、メールサーバで検知・除去されるかを確認したい。

パソコンのウィルス対策ソフトをすり抜けてしまったときの場合です。

  1. 前の手順の4.まで実施してテストウィルスがパソコンにある状態にします。
  2. ウィルス対策ソフトが無効のまま、メールソフトでテストウィルスを添付します。
  3. そのままメールを送ります。送信が成功することを確認してください。ウィルス対策ソフトの中にはメール送信時のファイルをチェックする物があります。この機能が有効ですと検知されて送信失敗になります。全ての機能が無効であることを確認してください。
  4. メールサーバ側のウィルス対策ソフトでウィルスが検知され駆除または隔離されていることを確認してください。受け取り側で、実際のメールも添付ファイルが削除されていることを確認してください。

そのまま添付する以外に、zip等で圧縮するなどして、圧縮された添付も検知できるかどうかを確認してください。

メールサーバにあるウィルス付きメールを受信できないことを確認したい。

メールサーバのウィルス対策ソフトをすり抜け、メールスプールに既に入っている状態でも、パソコンでは弾いてくれるかの確認です。

  1. "test.com"という中身が"0"が68文字あるファイルを用意して、添付してメールを送ります。
  2. メールサーバに管理者権限でログインします。
  3. 1.で送信した宛先ユーザのメールスプールにアクセスし、該当のメールをvim等で開きます。(mboxやMaildir等であれば可能ですが、Microsfot Exchange Serverのようなメールをサーバ内部でデータベース化するようなソフトでは不可能です。また、Gmail等のクラウドサービスでも権限がないためできません。)
  4. "0000..."となっている部分をEICARである"X5O!P%@A..."に書き換えます。
  5. パソコンから該当のファイルをPOPやIMAP等で取得します。取得時にウィルス対策ソフトが検知して駆除されることを確認してください。(メール自体がどうなるかはソフトによって異なります)

外部からウィルス付きメールを送られたときに、メールサーバで検知・除去されるかを確認したい。

外からの防御です。一番大切なところですが、一番お金がかかり、一番大変です。

  1. OP25B対策がされていない外部回線を契約します。日本のプロバイダーでは通常回線の契約でOP25B対策がされていないものはほぼありません(少なくとも私は知りません)。多少値が張りますが、固定IPアドレスの契約であればOP25Bが解除されている場合があります。なお、セキュリティオプションのようなものは結ばないようにしてください。
  2. 独自ドメインを取得します。既にお持ちのドメインのサブドメインでもかまいませんが、内部で使用していない、つまり、外部からだと判断できるドメインを利用してください。
  3. 1.で契約した回線を使う本当に使えるメールサーバを作成します。DNS等に関しても2.で取得した独自ドメイン用にきちんと設定します。ウィルス対策ソフトをそのメールサーバに入れてもいいですが、送信するときに解除できるようにしておきます。
  4. これまでの手順でやったようにテストウィルス付きメールを作成し、3.で作成したメールサーバ経由で送信します。パソコンおよび作成したメールサーバでウィルス検知が動かないようにしてください。
  5. 受け取り側のメールサーバでウィルスを検知・駆除していることを確認します。

telnetコマンド等でメールサーバの動作を完全にエミュレートできるのであれば、メールサーバの作成等は不要です(ただし、25番ポートへの受け付けもメールサーバとしてエミュレートする必要があるかもしれません)。ただ、その場合でもOP25B対策がされてない回線の契約は必須です。また、ドメインについても、DNSが設定されていないとその前に弾いてしまう事があるため、ウィルスメールのテストをしたければ、本物のメールを送受信できるに、DNSを本当のメールサーバと同じように設定する必要があります。

なお、プロバイダーのメールサーバを通すというのもありますが、しっかりとしたプロバイダーであるほどウィルス検知を導入しているため、プロバイダーのメールサーバを通ることはできない可能性が高いです。Gmail等も同様で、ウィルス付きメールを送ることはできません。

OP25B対策がまだ無かった時代に私は上記の方法で実際やったことがありますが、現在は環境の用意が難しいため、そこまでのテストは実施していません。内部からのテストと、運用後に外部からのメールに対して検知があることをもってウィルス対策ソフトが動作していると判断しています。

投稿2015/11/07 01:25

raccy

総合スコア21733

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zanjibar

2015/11/07 01:42

長文の回答ありがとうございます。質問にも書いてありますが、世の中でどういったことをやっているのかをしりたかったのです。関連情報もほしいので、質問の抽象度をあげてあります。なお、自分で探したものですが、https://rtcamp.com/tutorials/mail/server/testing/antivirus/  のような情報が欲しいものです。こうすればできるだろうというのではなく、こうするとできると具体的なPOCまでついているのがありがたいです。
raccy

2015/11/07 02:17

上で書いたことは実際にやった(一部はやっていた)方法です。こうすればできるではなく、実際に過去に私がやりました。(ただ、内部構成に関わる機密情報がありますので、具体性を薄めて一般的な内容にしています。) 具体的なコマンドまで必要と言うことでしょうか? 一応インフラ系のSEであれば内容を理解し、実施できるレベルで手順を書いたつもりです。失礼ですが、zanjibarさんが上の記載で具体的方法がわからないとなれば、メール自体の仕組みやウィルス検知に関してそれほどお詳しくないのかなと思います。最初の【警告】にある通り、セキュリティ上のリスクが伴う作業であり、専門的な知識が無い場合は大変危険です。セキュリティ専門の会社や、メールサーバを構築したベンダー等に依頼することをお勧めします。 なお、世の中では実際に毎回どこでもこういうテストを実施しているのか?どうかについてはわかりかねます。少なくとも私が関わった案件では、なんらかのウィルス対策ソフトを入れている場合、本番になる予定の環境(テスト用サーバ等を用いたテスト環境ではなく、最終的に本番になるサーバを用いた環境)でEICARを用いたテスト(検知・駆除およびログがでること)は必ず実施し、EICAR検出のログを証拠として残したまま顧客に納品していました。会社によってポリシーが変わりますので、どこでも実施しているまではわかりません。hskさんが言うようにEICARすら本番サーバに用いるのはNGとしているところもあると思います。
zanjibar

2015/11/07 03:50 編集

telnet で port を叩いたりはできますが、誰でも手軽に、ウィルステストメールが送れるようになっているならそういったサービスを使うのがいいかなと思っていて質問しています。専門家でなくても、今はないですが、testvirus.org のようなところからEICAR を送るようなサービスがあるとよいなと思っている次第です。手元のウィルス駆除が働くかどうかの確認を誰でもできるのがいいと思っているところです。専門家だけがセキュリティを扱う時代ではなくなっている気がしています。vaddy のように低価格な脆弱性診断がでてきているのもそういった時代の反映だと思っています
raccy

2015/11/07 05:08

もし、誰でも手軽にウィルスを送れるなら、そのシステムが危ないという事ですよ?EICARは何もしないテストウィルスといっても、本物のウィルスのように、一般利用者は簡単に入手することも利用することもメールで送ることもできないようにしないといけません。もし、EICARを用いてそんなことが手軽にできるのであれば、本物のウィルスも手軽に利用者の手元に入り込んで、メールで送れてしまうと言うことです。 セキュリティについては専門家だけではなく、一般管理者も学ぶべき事であることには同意します。しかし、ますます攻撃が複雑になっておきており、逆に専門性が増加して行っているのが現状です。私もセキュリティに関して全部を知っているわけではないので、詳しくない所のセキュリティに関しては、その専門の人に話を聞いたり、作業を委託したりしています。ご自分で学ぼうとすることも大切ですが、まだ自分が詳しくないことを自覚しているのなら、業者を呼んでも損ではありませんよ。別に実際にサービスを利用する予定がなくても、今何が問題でどんな対策ができそうなのか話を聞くだけでもためになります(業者を騙すような感じもしますが、業者が自分たちのサービスを説明に来るのは勝手にしていることですから)。中途半端な知識の状態で安全だと思い込んでしまうことの方がよっぽど危険です。 あと、「標的型メール」は本来のウィルス対策では防ぐことができないから問題であり、「標的型メール訓練」はサーバの訓練ではなく利用者の訓練です。サーバに、ましてや、利用者にウィルスメールを送りつけるものでは決してありません。色々と調べているのであれば、こちらも一度業者に問い合わせて話を聞くことをお勧めします。費用対効果を考えると決して高いものではありません。 セキュリティ対策は効果が見えにくいものですが、費用を掛けることをためらうべき物では決してありません。また、無料で手に入る情報やツールは基本的に保証なんてありません。私の書いている内容も所詮無料かつ無保証なことです。本当に安全を考えるなら、ご自分で判断できるほどの知識がまだないと自覚しているなら、多少の費用は厭わずに、信頼できる業者へ頼むことをお勧めします(と、書いたこの言葉すら無保証ですが)。
guest

0

閉じた環境(仮想環境だと楽ですね)にメールサーバとクライアントを用意してその中でテストするのがベストかと思います。

投稿2015/11/06 01:07

tanat

総合スコア18709

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zanjibar

2015/11/06 01:14

実際につかっている環境でブランドテストしたりするのを想定していますので、すみませんが、仮想環境で閉じている場合ではないのです。
tanat

2015/11/06 01:35

実際に使っている環境と全く同じ環境でテストしたいのであれば、 「PCや、メールサーバでのチェックにひっかかかってうまくいきません。 」がテスト結果にしかならないと思いますが。。。 何をテストするか具体的にならないとこれ以上の回答は不可能です。 PCからの送信テストに関しては直接telnetでSMTP通信するなり、送信時のチェックが無いクライアントを使えば送信可能です。 メールサーバが外部(例えばGmail)だとしたら、Gmailのウィルスチェックを無効にすることは不可能です。 ウィルス系のテストを本番環境で行うというのは運用面から考えても通常は行わないので ・何を(サーバのウィルスの検知力なのか、検知した際の挙動なのか、受信側のクライアント上での検知力なのか) ・どの部分で ・どのように テストしたいのかを定義して、 テスト環境を構築してで本番環境と同様の環境及び本番環境ではテストが出来ない項目についてもテストするのが一般的ですよ。
zanjibar

2015/11/06 03:04

メールサーバまでは、無チェックでウィルスメールを送信したい というのでいいでしょうか? 藤沢市役所でやったのと同じような状況です。
raccy

2015/11/07 00:24

>zanjibarさん 藤沢市役所の例というのは標的型メール訓練の事例のことでしょうか?あれは通常のウィルス対策ソフトでは引っかからないよう訓練用のメール(そもそも無害なので厳密にはウィルスメールではない)を作成するので、サーバやクライアントのセキュリティソフトが無チェックでしているということではありませんよ。
guest

0

自己解決

簡単につかえるのがありました。
postfix 等で、smpt server をたててから、つかいます。
http://modoboa.org/resources/send_spam.py

投稿2016/07/07 00:39

zanjibar

総合スコア206

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

下記のページの補足情報を参考にして、当該ファイルを作ることが出来ます。

http://www.mcafee.com/japan/security/virE1999.asp?v=EICAR%20test%20file

投稿2015/11/06 06:28

hsk

総合スコア728

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zanjibar

2015/11/06 06:43

言葉足らずですみません。作り方はわかっています。送信方法です。 ローカルサーバから送るのはできますが、簡単にできるのがあったら教えてほしいです。 http://www.aleph-tec.com/eicar/ のようなものです。この種のもので一番よくつかわれるがあったらお願いします。
hsk

2015/11/06 06:58 編集

わかりました。 作ったファイルにzipなどで一定レベル以上の暗号化で難読化を施せば、自明にウイルス対策ソフトのパターンマッチングは大変困難になるので、メール添付でも送れるのではと思います。 もし検出されたのなら、その暗号が解読された(暗号方式の脆弱性発見か?)ことになります。もしくは暗号をも解いてしまう、大変強力な検出力をもつソリューションなのでしょう(ぜひ教えて欲しいです...)。 上記のページは、ウイルス対策導入済みの環境下で非暗号化zipなどの中身のウイルスも検出できるかどうかを試すもので、配布用ではないです(お分かりだとは思いますが)。
zanjibar

2015/11/06 07:37

すみません。難しい話ではないです。単にテスト用ウィルスメールを送って、ウィルス検知のシステムの動作確認したいだけです。 藤沢の市役所でテストしたようなことをしたいのです。やりたいことは、受信側のメールサーバまでは、届けたいだけです。
hsk

2015/11/06 07:52 編集

なかなかそこまで読み取れませんでした。 セキュリティ関係のソフトを入れずにOSをインストールし、そこでEICARを作って、携帯電話のテザリング機能を経由するなどして(=社内ネットワークを使わないで)、メール送信したらいかがでしょう? 私ならVPSなどでレンタルサーバを借りて、そこからメール送信をしますね。 そこまでご自分でなさるのはちょっとおっくうであるならば、やはりサービスを探すしかないでしょうね...(ただしセキュリティの観点からして、なかなか無いと思いますよ。そこのサーバは(汎用的なウイルス対策を行っていないという)脆弱性を持っていることが自明でしょうから)。
hsk

2015/11/06 08:02 編集

藤沢市役所のテストメールですが、別にホンモノのウイルス付きメールでテストしなくても済むでしょう。要は「ニセモノの」メールを開けてしまえば、HITしてしまったとみなせばよいわけで。。 むしろ、EICARであったにせよ、ホンモノのウイルス付き(または偽陽性となる)メールでテストをするなんてありえないと思います。標的型攻撃はゼロデイ攻撃に該当する場合が多いわけですし、ウイルス対策ソフトが検出するか否かは、藤沢市の事例目的では意味がないかと。
zanjibar

2015/11/06 16:52

実際にやった人の回答を期待していたのですが、いらっしゃらないみたいですね。ローカルから送るのは、ほんの少しの手間なので、良いサービスがなければ、postfix を久しぶりにさわってみます。
hsk

2015/11/08 23:56

zip暗号化をかけて送ったことなら私はやったことありますよ、念のため。
hsk

2015/11/09 00:24 編集

質問主さんは、何を対象に訓練をしたいのか、ご自身でおわかりになっていないのだと思います。 EICARを送られてはじくのはウイルス対策ソフトウエアなのであって、従業員に対しての標的型攻撃に対するテストには何もならないのではないでしょうか? むしろ検出されてしまったら、ウイルス対策ソフトウエアが標的型攻撃に引っかからないための従業員の訓練の邪魔をしてしまいませんか? コンピュータシステムに対してではなく、従業員に対しての訓練ならば、ホンモノのウイルスである必要はないのですよ。主さんが挙げていたキットもウイルスとして対策ソフトに検出されるうんぬんは書かれていません。 https://kit.happyexcelproject.com/5186/ 結論からしますと、挙げられてたサイトからEICARを送ることで、メール経由でのウイルス対策システムの動作確認はできますが、藤沢市役所の例の訓練とは関係がないです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問